‘차세대 방화벽’이 구시대의 유행처처럼 되자, 차세대 시장을 주도했던 기업들은 후발주자와의 차별성을 강조하기 위해 APT 플랫폼으로 포지셔닝하고 있으며, 내부보안 역량을 확대하고, SDN 이념을 적용해 클라우드·IoT에서도 보안 플랫폼으로 자리매김하고자 노력하고 있다. 벤더별로 새롭게 제안하는 차세대 보안 플랫폼 전략을 소개한다.<편집자>
신종 악성코드 탐지 기술 특화해 ‘차세대’ 기술 주도
레거시 방화벽의 강자인 체크포인트는 일찍부터 ‘소프트웨어 블레이드’ 아키텍처를 기반으로 제품을 설계해 차세대 방화벽이 유행하기 전부터 차세대의 이상을 실현해왔다. 그러나 ‘레거시 방화벽’ 시장에서 쌓은 탄탄한 인지도가 차세대 시스템으로 전환되는데 발목을 잡아 아직도 ‘레거시 방화벽의 대명사’로 인식되고 있다. 특히 우리나라에서는 고가의 고성능 방화벽이라는 고정된 이미지를 탈피하기 어려운 상황이다.
체크포인트의 소프트웨어 블레이드는 하드웨어 플랫폼에 보안 기능을 블레이드로 끼워넣는 형태의 아키텍처로, 고객이 원하는 기능을 병렬식으로 나열할 수 있다. 애플리케이션 인지, 사용자 역할기반 제어 정책 등 차세대 방화벽이 요구하는 기능을 갖췄다.
또한 APT 방어 솔루션과 연동해 알려지지 않은 공격을 차단할 수 있다. 체크포인트의 APT 방어 솔루션 중 ‘샌드블래스트(SandBalst)’는 일반적인 OS 기반 샌드박스와 함께 CPU 기반 샌드박스 기술을 제공해 OS·애플리케이션 종류에 제약 없이 악성코드를 분석한다. CPU 기반 샌드박스는 CPU 플로우를 추적해 악성행위를 찾아낸다. 체크포인트는 엔드포인트 멀웨어를 차단할 수 있는 샌드블래스트 에이전트(SBA)도 새롭게 출시하면서 차세대 방화벽-샌드박스-엔드포인트에 이르는 차세대 보안 플랫폼을 완성해나가고 있다.
남인우 체크포인트코리아 전무는 “샌드블래스트는 병원 이메일망에서 알려지지 않은 신종 랜섬웨어 공격을 차단하는 등 여러 건의 새로운 멀웨어 탐지 성과를 거두고 있다. 샌드블래스트는 인라인 홀드 모드를 지원해 탐지와 차단이 동시에 가능하고, 원천적으로 악성파일을 차단할 수 있다”고 설명했다.
차세대 IPS, 방화벽 기능 흡수하며 생존 전략 펼쳐
차세대 네트워크 보안 시장에서 주목해야 할 또 다른 시장은 차세대 IPS이다. 차세대 방화벽이 IPS 시장까지 잠식해들어가자 IPS 벤더들은 일제히 차세대 보안 기능과 방화벽 기능을 추가하면서 ‘차세대 IPS’로의 전환을 선언했다.
그 선두에 섰던 HPE 티핑포인트는 트렌드마이크로에 인수됐으며, IPS의 대명사로 꼽힌 소스파이어는 시스코에 인수된 후 옛 명성을 회복하지 못하고 있는 상황이다. 인텔시큐리티는 핀란드 차세대 방화벽 기업 스톤소프트를 2014년 인수하고 자사의 차세대 IPS ‘맥아피 네트워크 시큐리티 플랫폼(NSP)’에 통합시켰으나 2016년 스톤소프트를 포스포인트(구 웹센스)에 다시 매각하면서 IPS에 집중하는 전략으로 돌아섰다.
국내에서는 시큐아이, 윈스, 안랩이 시장을 장악하고 있었으나 차세대 전환을 성공적으로 완료했다고 보기 어렵다. 시큐아이가 연초 차세대 IPS ‘MFI’를 출시하고 시장 공략에 나서면서 분위기를 전환하고 있다.
차세대 IPS도 차세대 방화벽과 마찬가지로 IPS 중심의 차세대 보안 전략을 드라이브한다. APT 방어 솔루션, 엔드포인트 보안 솔루션을 연동해 IPS와 엔드포인트에서 위협정보를 수집해 APT 방어 솔루션에서 분석한 후 위협으로 판정되면 IPS와 엔드포인트에서 차단하는 방식이다.
인텔시큐리티의 NSP는 시그니처 없이 위협을 탐지하는 독특한 기술력으로 시장을 선도한다. 실시간 에뮬레이션 엔진으로 알려지지않은 공격의 의도를 파악하고, 실시간 심층 파일 검사 기능으로 최신 위협에 대응한다. 엔드포인트와의 연계로 네트워크 관점에서 사용자의 위협을 상관분석하며, 다양한 방법을 통한 진화된 봇넷 방어와 진화된 악성코드 분석을 위한 샌드박스 등 관련 제품과 연동해 시그니처 없이 진화하는 공격을 방어한다.
40Gbps부터 360Gbps까지 확장 가능하며, 애플리케이션 인지·상황인식 기능을 제공하며, SSL 복호화 성능을 높여 암호화로 유입되는 악성코드를 탐지·차단한다.
김수영 인텔시큐리티 이사는 “차세대 방화벽과 차세대 IPS는 바라보는 관점이 다르며, 차세대 방화벽이 제공하는 IPS 기능은 극히 제한적이다. IPS는 모든 패킷을 분석해야 하는데, 방화벽은 제한적인 범위에서만 분석한다”고 지적했다.
그는 “네트워크 보안 플랫폼 시장에서 차세대 방화벽이 주류를 이루는 것은 사실이지만, 차세대 IPS가 완전히 사라지지는 않을 것”이라며 “차세대 IPS도 차세대 방화벽의 기능을 거의 흡수했으며, 차세대 방화벽의 관리 복잡성 문제도 IPS가 해결했다. 앞으로도 상당기간 차세대 방화벽과 차세대 IPS는 함께 발전하게 될 것”이라고 말했다.
토종 IPS도 차세대 변화 발걸음 분주
토종 IPS 벤더들도 차세대 기능을 통합하기 위해 잰걸음을 옮기고 있다. 시큐아이의 차세대 IPS ‘MFI’는 고성능 멀티코어 플랫폼에 최적화된 아키텍처로 인라인 속도를 보장하며, 풀 스택 인스펙션으로 익스플로잇 공격, 웹 취약점 공격, 애플리케이션 제어 기능을 제공한다. DDoS 방어 전용 엔진을 탑재했으며, 위협 인텔리전스 STIC과 연계해 신종 공격을 탐지한다.
안랩은 ‘트러스가드 IPX’를 앞세워 차세대 IPS 시장을 공략한다. IPX는 안랩의 분석 기술과 자체 제작한 룰을 기반으로 다양한 유형의 최신 네트워크 기반 공격과 악성코드 침입을 차단한다.
6000여개의 시그니처, C&C 서버 블랙리스트 DB를 통해 공격을 차단하고, 국내에서 주로 사용하는 애플리케이션에 대한 정밀한 컨트롤이 가능하다. 더불어 클라우드 기반의 종합 위협 분석 시스템을 통해 급변하는 보안 위협에 대한 실시간 모니터링 및 대응을 제공한다.
윈스는 IPS와 DDoS 방어에 사용되는 핵심 기술인 ‘네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법’에 관한 기술로 미국특허권을 취득, 미국시장 진출을 위한 준비를 진행하고 있다. 윈스는 가트너 매직 쿼드런트 보고서 ‘침입방지(IPS)’ 부문에 등재돼 있다.
